Investigadores de la empresa de seguridad Wiz identificaron una nueva campaña de ciberataques dirigida a organizaciones vinculadas al ecosistema de criptomonedas. El grupo, denominado JINX-0164, ha estado activo al menos desde mediados de 2025, comprometiendo infraestructura de desarrollo y sistemas internos mediante ingeniería social, malware avanzado para macOS y ataques a cadenas de suministro de software.
Según el informe, los atacantes contactaban a empleados a través de perfiles falsos o comprometidos en LinkedIn, simulando oportunidades laborales o reuniones de negocios. Las víctimas recibían enlaces hacia sitios web que imitaban de manera exacta plataformas legítimas de videoconferencia, como Microsoft Teams. Desde allí, mediante engaños sobre supuestos errores de audio, se les inducía a ejecutar un script que instalaba AUDIOFIX, un infostealer basado en Python diseñado específicamente para sistemas macOS (tanto Intel como Apple Silicon).
AUDIOFIX permitía a los atacantes robar credenciales, claves SSH, información de billeteras cripto y extensiones Web3, además de secuestrar sesiones activas de Discord, Slack y Telegram. Con las credenciales obtenidas, el grupo accedía a repositorios de código y pipelines de CI/CD. Utilizando herramientas como nord-stream, automatizaban la exfiltración de secretos directamente desde GitHub Actions.
Como táctica de movimiento lateral, los atacantes aplicaron técnicas de suplantación de identidad en Git, modificando las firmas de los commits para hacerse pasar por desarrolladores legítimos de la empresa, inyectando código malicioso directamente en las ramas principales.
Ataque a la cadena de suministro
Además de la ingeniería social, Wiz detectó que JINX-0164 ejecutó un ataque de cadena de suministro el 7 de abril de 2026, tras comprometer las credenciales de NPM de la biblioteca @velora-dex/sdk (versión 4.9.1). En este caso, el paquete modificado descargaba MINIRAT, un backdoor ligero escrito en Go capaz de ejecutar comandos remotos en los equipos de cualquier organización que importara la dependencia.
Según los analistas, JINX-0164 es un actor malicioso con motivación financiera cuyas tácticas presentan similitudes con campañas atribuidas históricamente a grupos norcoreanos especializados en el robo de criptomonedas, como UNC1069 y Sapphire Sleet. Los investigadores señalaron que el foco en empresas cripto y desarrolladores, junto con el uso de ingeniería social y malware dirigido a macOS, coincide con patrones observados en operaciones anteriores vinculadas a Corea del Norte.
Si bien algunas capacidades del malware presentan similitudes superficiales con herramientas documentadas previamente por Microsoft, Wiz indicó que este nuevo cluster implementa varias de esas funciones de manera diferente y que, hasta el momento, no se identificó infraestructura compartida con grupos públicamente atribuidos.
Recomendaciones de los investigadores
Wiz recomendó a las organizaciones implementar las siguientes medidas defensivas:
- Monitorear indicadores de compromiso (IoCs), incluyendo dominios, direcciones IP y hashes de malware asociados a la campaña.
- Detectar el uso inusual de servicios VPN como ExpressVPN, Astrill VPN y Mullvad VPN.
- Supervisar posibles intentos de exfiltración de secretos desde pipelines y workflows de GitHub Actions.
- Revisar la presencia de herramientas y componentes maliciosos en repositorios y entornos de desarrollo.
- Monitorear ejecuciones anómalas en pipelines CI/CD, incluyendo eliminación inesperada de logs.
- Detectar publicaciones de paquetes desde direcciones IP inusuales.
- Verificar commits no autenticados o no verificados en GitHub.
El caso de JINX-0164 refleja una tendencia creciente en el ecosistema cripto: el uso combinado de ingeniería social, compromiso de desarrolladores y ataques a la cadena de suministro como vía de acceso inicial. Más allá de las técnicas utilizadas, el foco en entornos de desarrollo y herramientas colaborativas muestra cómo los atacantes buscan posicionarse en puntos críticos de la infraestructura para amplificar el impacto de sus campañas.
Indicadores de Compromiso (IOCs)
Estos son los indicadores de compromiso compartidos por el informe de Wiz:
Malware
| Malware | Variante/Categoría | Hash |
| MINIRAT | ARM64 | 0a8ab3d16b12d3a453ee5a3208fe04744ad54514ef8ea27bb8fe32679efad270 |
| MINIRAT | x86_64 | 0b028b781950641818800fee2b4bf68e4ef2bcee53fe71a21755275ba108783d |
| MINIRAT | ARM64 | a35d2b67fa478a7174e308b43ce30bf69b3bc6f44fa76197fdf95fc2fbc1cf5b |
| AUDIOFIX | HTTPS/ARM64 | 65cba741fe30fa4799fb9002ea8de6d96042a59159dd7c3419c766af24c835e6 |
| AUDIOFIX | HTTPS/x86_64 | 0b1a36a31b952341a534fe24890f1ed2921ee259773cff46e4f6273b8c4d5d21 |
| AUDIOFIX | Dropbox/ARM64 | e8ee6f5145c9d503c5130bfc6585567f6e19d409158c3c0ca0b259f1875b15f4 |
| AUDIOFIX | Dropbox/x86_64 | 3e3901519c2305fbe9d5483b7234c25c6d2b562512916481d96f26b849c39fdb |
| Dropper | Fake audio fix (apple.driver-store.com) | 9c2ce925133a3bf5a924063bbef8df49918d5b7258695c1894cd18c75970157a |
| Dropper | Fake audio fix (apple.driver-update.io) | 402625ec79e3573a80b6de9b33fc1e503e3c7803603cd958ddd515fb0549007c |
| Dropper | Fake audio fix (driver-updater.net) | b6cab0b3aa8e56e2427f486c74588d598ae58bb0cbc0eda6939fe171cb0aed17 |
| Dropper | Fake Chrome update (apple.driver-store.com) | d4e863f9818bfb2f1dd932df6441dff204e6142c3bdb55b298cb08dc7b6a0c62 |
| Dropper | Delivered via supply chain (89.36.224.5) | c6ef82d2864dfd26f117a1ef5602679153423f2742970a7949cec72722f0a01e |
| Dropper | Delivered via supply chain (89.36.224.5) | 2a10ffe0367bb1b26ba2c3bc600892c21074725c0b8c9dc9161e6ceb33915460 |
Indicadores de compromiso basados en red
| Dominios | Ips |
| live[.]us[.]org, team[.]live[.]us[.]org, teams[.]live[.]us[.]org, www[.]live[.]us[.]org | 185[.]100[.]85[.]250 84[.]32[.]83[.]250 163[.]172[.]53[.]20 185[.]100[.]85[.]98 |
| live[.]org[.]mx, teams[.]live[.]org[.]mx | n/a |
| teams[.]cam, learn[.]teams[.]cam, live[.]teams[.]cam, login[.]teams[.]cam, www[.]teams[.]cam | 185[.]100[.]85[.]98 |
| teamicrosoft[.]com, www[.]teamicrosoft[.]com, login[.]teamicrosoft[.]com, learn[.]teamicrosoft[.]com, resource[.]teamicrosoft[.]com | 153[.]92[.]126[.]84 |
| bitget-meeting[.]com, www[.]bitget-meeting[.]com, learn[.]bitget-meeting[.]com, login[.]bitget-meeting[.]com, resource[.]bitget-meeting[.]com | 153[.]92[.]126[.]84 |
| bitget-meeting[.]com, www[.]bitget-meeting[.]com, learn[.]bitget-meeting[.]com, login[.]bitget-meeting[.]com, resource[.]bitget-meeting[.]com | 153[.]92[.]126[.]84 |
| us03-slack[.]online, app[.]us03-slack[.]online, my-home-company-group[.]us03-slack[.]online, www[.]us03-slack[.]online | 185[.]100[.]85[.]98 |
| slktest[.]live, app[.]slktest[.]live, my-home-company-group[.]slktest[.]live, www[.]slktest[.]live | 185[.]100[.]85[.]98 |
| live[.]ong, learn[.]live[.]ong, login[.]live[.]ong, teams[.]live[.]ong, www[.]live[.]ong | 45[.]45[.]217[.]242 |
| teams[.]us[.]org, learn[.]teams[.]us[.]org | 45[.]45[.]217[.]242 |
| lives[.]us[.]org | 45[.]45[.]217[.]242 |
| Retesta[.]live, learn[.]retesta[.]live, login[.]retesta[.]live, teams[.]retesta[.]live, www[.]retesta[.]live | 45[.]45[.]217[.]242 |
Dominios usados para entregar el payload
| Dominios | IPs |
| driver-updater[.]net | 45[.]45[.]217[.]242 |
| driver-store[.]com, apple[.]driver-store[.]com, windows[.]driver-store[.]com, www[.]driver-store[.]com, sitemaps[.]driver-store[.]com | 89[.]36[.]224[.]5 84[.]32[.]83[.]250 |
| driver-hub[.]net, apple[.]driver-hub[.]net, windows[.]driver-hub[.]net, www[.]driver-hub[.]net | 185[.]100[.]85[.]98 163[.]172[.]53[.]20 |
| driver-update[.]io, apple[.]driver-update[.]io, windows[.]driver-update[.]io, www[.]driver-update[.]io | 153[.]92[.]126[.]84 |
| drvstore[.]com, apple[.]drvstore[.]com, windows[.]drvstore[.]com, www[.]drvstore[.]com | 84[.]32[.]83[.]250 185[.]100[.]85[.]98 |
| driver-updater[.]net, www[.]driver-updater[.]net | 45[.]45[.]217[.]242 |
Fuente